htb Pov wp简记

最近懒得飞起 不想写太细，有师傅想看完整的可以留个言或者私信 我再补补…
user部分
nmap只扫到一个端口
http/80

目录没扫出什么
vhost扫出dev来

在抓包访问页面邮箱丢出去的包有包含asp.net的viewstate，这里一开始我还没在意，后来发现有个download那里的cv.pdf有个lfi，然后写了个脚本跑字典fuzz了半天，down出来个web.config。

拿着里面的特征去谷歌了一波
https://book.hacktricks.xyz/pentesting-web/deserialization/exploiting-__viewstate-parameter#test-case-4-.net-greater-than-4.5-and-enableviewstatemac-true-false-and-viewstateencryptionmode-true
这里有利用方式

shell弹回来，翻document会找到个powershell的凭据xml
https://book.hacktricks.xyz/windows-hardening/basic-powershell-for-pentesters#secure-string-to-plaintext

拿到密码后，这里看到5985是开的 但是墙应该是没放出来，就穿了下然后winrm访问

whoami /priv看到有debug权限
用https://book.hacktricks.xyz/v/cn/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens
的psgetsys.ps1方式简单弹回来个shell就结束了

root部分细节

这里原本是代理穿了一下winrm，而后再用的psgetsys，是ok的

import-module  .\psgetsys.ps1 ;ImpersonateFromParentPid -ppid 552 -command "cmd.exe" -cmdargs "/c powershell.exe -e"

所以这次再尝试一下runasCS的方式
这里不行，考虑可能是SeIncreaseWorkingSetPrivilege权限的问题。

不过还是用排除法试一下
首先是pov\alaading用户用runascs状态下测

然后是admin用户的runascs

可以看到都是报错了

然后试了下两个winrm都是ok的，所以应该是和SeIncreaseWorkingSetPrivilege这个权限有关系

参考

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/increase-a-process-working-set

---

靶机难度不高，我感觉比较难的就是user，因为payload需要反复调教几次